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Vragen van het lid Oosenbrug (PvdA) aan de Ministers van Veiligheid en 
Justitie en van Volksgezondheid, Welzijn en Sport over de privacyschending 
door ziekenhuizen (ingezonden 27 januari 2016). 

Antwoord van Minister Van der Steur (Veiligheid en Justitie) (ontvangen 
19 februari 2016). Zie ook Aanhangsel Handelingen, vergaderjaar 2015-2016, 
nr. 1561. 

Vraag 1 

Kent u het bericht «Datalek ziekenhuizen treft ruim 158.000 patiënten»? 1 

Antwoord 1 
Ja. 

Vraag 2 

Deelt u de mening dat het zorgelijk is dat vanwege de gebrekkige omgang 
met en beveiliging van persoonsgegevens de privacy van de desbetreffende 
patiënten is geschonden? Zo nee, waarom niet? 

Antwoord 2 
Ja. 

Vraag 3 

In hoeverre is het toegestaan om bij de overgang naar papierloos werken 
privacygevoelige data te laten scannen door buitenlandse digitaliseringsbe- 
drijven? 

Antwoord 3 

Dit is toegestaan als ziekenhuizen zich aan de geldende wet- en regelgeving 
houden. Het gaat dan vooral om de Wet bescherming persoonsgegevens 
(Wbp). De regels staan toe dat een ziekenhuis een zogenaamde bewerker 
inschakelt om in te scannen. De wet verplicht het ziekenhuis om hiervoor een 
zogenaamde bewerkersovereenkomst af te sluiten. In die overeenkomst 
worden onder andere afspraken gemaakt over de beveiliging en geheimhou¬ 
ding. Los van de overeenkomst bepaalt de wet ook dat de bewerker verplicht 
is tot geheimhouding. In het hele proces blijft het ziekenhuis verantwoorde- 


1 http://www.nu.nl/internet/4203392/datalek-ziekenhuizen-treft-ruim-158000-patienten.html 
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lijk: zij moet voldoende maatregelen nemen om te borgen dat de bewerker 
zich aan de afgesproken regels rond beveiliging en geheimhouding houdt en 
dat de afspraken daarover worden nageleefd. 

Vraag 4 

Deelt u de mening dat het onacceptabel en onverantwoordelijk is dat het 
werk van het Belgische digitaliseringsbedrijf iGuana is uitbesteed aan sociale 
werkplaatsen en gedetineerden in Belgische gevangenissen? Zo ja, welke 
consequenties verbindt u hieraan? Zo nee, waarom niet? 

Antwoord 4 

Ik vind het onacceptabel dat ziekenhuizen onzorgvuldig met patiëntendossiers 
omgaan. Ook moet rekening worden gehouden met de beeldvorming en 
moeten patiënten erop kunnen vertrouwen dat dit op een zodanige manier 
gebeurt dat de bescherming van medische informatie voldoende is gegaran¬ 
deerd. Ik heb begrepen dat het uitvoeren van deze werkzaamheden in 
gevangenissen en sociale werkplaatsen inmiddels niet meer voorkomt. Het 
bedrijf dat de werkzaamheden voor de ziekenhuizen uitvoerde gaf aan te 
voldoen aan de geldende wet- en regelgeving. Het is aan de Autoriteit 
Persoonsgegevens om toe te zien op de naleving van de Wbp en zo nodig te 
handhaven. Indien de kwaliteit van zorg in het geding komt kan de Inspectie 
voor de Gezondheidszorg ook in actie komen. De Inspectie voor de Gezond¬ 
heidszorg heeft mij al aangegeven dat zij aandacht hebben voor de wijze 
waarop de bewerkersovereenkomsten zijn gesloten bij die ziekenhuizen die 
nog in transitie zijn van papieren naar digitale dossiers. Ook heeft de 
Inspectie voor de Gezondheidszorg aangegeven de Nederlandse Federatie 
van Universitair Medische Centra en de Nederlandse Vereniging van 
Ziekenhuizen een briefte sturen om ziekenhuizen op hun verantwoordelijk¬ 
heid te wijzen. 

Vraag 5 

Deelt u de mening dat privacy een prijs heeft, oftewel dat het kostenaspect 
nooit een argument mag zijn om digitalisering van privacygevoelige data bij 
de goedkoopste dienstverlener onder te brengen? Zo ja, welke maatregelen 
treft u om dit te bewerkstelligen? Zo nee, waarom niet? 

Antwoord 5 

Het is aan de ziekenhuizen om te bepalen in hoeverre de dienstverlener 
voldoet aan de geldende wet- en regelgeving. Het kostenaspect mag er nooit 
toe leiden dat onzorgvuldig wordt omgegaan met privacygevoelige informa¬ 
tie. 

Vraag 6 

Op welke wijze wordt gecontroleerd of dossiers na inscanning daadwerkelijk 
zijn vernietigd? 

Antwoord 6 

Het vernietigen van patiëntendossiers moet conform de geldende wet- en 
regelgeving gebeuren. Het is aan de Autoriteit Persoonsgegevens om hierop 
toezicht te houden. Ook hierbij geldt dat ziekenhuizen zich bewust moeten 
zijn van de privacygevoeligheid van dit proces. 

Vraag 7 

Heeft de Autoriteit Persoonsgegevens specifieke middelen om uitbesteding 
van werkzaamheden door digitaliseringsbedrijven te controleren dan wel aan 
banden te leggen? Zo nee, waarom niet en wat gaat u doen om dit te 
verbeteren? 

Antwoord 7 

De Autoriteit Persoonsgegevens beschikt op grond van de Wbp over 
voldoende toezichthoudende en handhavende bevoegdheden om toezicht te 
houden op de naleving van de wetgeving inzake bescherming van persoons¬ 
gegevens en om zo nodig de naleving ervan met behulp van (bestuursrechte¬ 
lijke) sancties af te dwingen. Deze bevoegdheden stellen de Autoriteit ook in 
staat om indien nodig op te treden tegen een verantwoordelijke die bij 
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uitbesteding van werkzaamheden aan een zogeheten bewerker (artikel 1 
onder de Wbp) in strijd handelt met de Wbp. 

Toelichting: 

Deze vragen dienen ter aanvulling op eerdere vragen ter zake van het lid 
Klever (PVV), ingezonden 26 januari 2016 (vraagnummer 2016Z01443). 
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